AIが防御、AIが攻撃する『新冷戦』——DARPA AIxCC、5,400万行をスキャンした自律バグ探索が現実フェーズへ
susumoooon情報源:https://www.theverge.com/ai-artificial-intelligence/915660/mythos-script-kiddies-hackers-attack-cybersecurity-ai
収集日:2026年4月29日
スコア:インパクト16 / 新規性14 / 注目度10 / 衝撃度18 / 根拠8 / 実現性8 = 74点
変化の核心:サイバーセキュリティの『発見』も『攻撃』もAIが主役となり、防御者と素人攻撃者の能力差が一気に縮まる。
概要
DARPA Artificial Intelligence Cyber Challenge(AIxCC)で、参加チームのAIシステムが5,400万行の実コードを自動スキャンして人為的な脆弱性を検出した。同じ技術がスクリプトキディの攻撃力も底上げしており、AI vs AIのサイバー攻防が始まりつつある。防御側の自動化と攻撃側の大衆化が同時に進み、サイバーセキュリティ市場の前提条件が書き換わる段階に入った。
何が新しいか
DARPAのAIxCCで、参加チームのAIが5,400万行という商用ソフトウェア相当の実コードを自律的にスキャンし、人為的に埋め込まれた脆弱性を実際に発見したという実績である。これまでAIによる脆弱性発見は研究レベル・小規模コードでの実証にとどまっていたが、コード規模・自律度ともに『商用化フェーズ』に入った最初の事例である。同時に同じ技術が初心者ハッカー(スクリプトキディ)の攻撃力を底上げしているという両面性が同時に確認された点も新しい。
なぜまだ注目されていないか
サイバーセキュリティ業界の話題は具体的なインシデント(ランサムウェア、データ漏洩)に集中しがちで、コンペ結果を含む『能力ベンチマーク』は専門誌でしか追われにくい。AIxCC自体も2024〜2025年にかけて段階的に進行してきた長期コンペで、最終結果のインパクトが時系列的に分散して伝わってしまった。『AI vs AI』というナラティブはSF的に響くが、企業のCISOが具体的に何をすべきかが見えにくいため一般紙でも扱いにくい。
実現性の根拠
DARPA主催という米政府の信用力に加え、Trail of BitsやTeam Atlantaなど世界トップ級セキュリティ研究者が参加し、5,400万行という具体的な検査規模が公表されている。AIによる脆弱性発見はGoogle Project Zero、OSS-Fuzz、Anthropic、OpenAI内部での自動スキャン実績が積み上がっており、コンペ結果と整合する。攻撃側でもScript Kiddie向けジェイルブレイク済みLLMが既に流通しており、攻防両面でAI能力が現場に降りていることは複数の独立報告で確認されている。
構造分析
サイバーセキュリティの主戦場は『人間専門家の希少性 vs 攻撃者の数』という非対称構造だったが、AIが両側に行き渡ることで『攻撃者が増え、防御コストも下がる』という新しい均衡が生まれる。中堅企業・自治体など『専門家を雇えない組織』が一気にAI防御層を導入する一方、攻撃の自動化・パーソナライズ化で個人を狙う詐欺・ID窃取の量・質が爆発する。サイバー保険・規制・標準化の枠組みも『AIアシステッド攻撃』を前提に再設計を迫られる。
トレンド化シナリオ
2026〜2027年にAIによる自律的脆弱性発見ツールがエンタープライズ向けに本格商品化し、CISOの主要な投資項目になる。同時にAI攻撃キット(フィッシング自動生成、マルウェア変異)が地下市場に流通拡大し、個人を標的とした攻撃数が桁違いに増加する。2028年頃には『AI防御スコア』が企業のサイバー保険料率を直接決める指標となり、AIセキュリティ専業ベンダーが数社・大型化する。一般消費者にとってもAIアシスタントが『あなた宛のフィッシング・ディープフェイク』を常時警戒する役割を担う。
情報源
\ 最新情報をチェック /
